DFN-CERT

Advisory-Archiv

2018-1711: spice-gtk: Eine Schwachstelle ermöglicht u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-08-23 12:33)
Neues Advisory
Version 2 (2018-09-03 11:46)
Für Debian Jessie (LTS) stehen verschiedene Sicherheitsupdates für 'spice' und 'spice-gtk' zur Behebung der Schwachstelle bereit.
Version 3 (2018-09-21 11:17)
Für Red Hat Enterprise Linux Desktop, Server und Workstation 6 sowie für Red Hat Enterprise Linux for Scientific Computing 6 stehen Sicherheitsupdates für 'spice-gtk' und 'spice-server' bereit, um die Schwachstellen zu beheben.
Version 4 (2018-09-21 13:21)
Für die Red Hat Enterprise Linux 7 Produkte Server, Server for ARM, for Scientific Computing, Workstation und Desktop sowie Server Extended Update Support 7.5 und EUS Compute Node / HPC 7.5 stehen Sicherheitsupdates für 'spice' und 'spice-gtk' zur Behebung der Schwachstellen bereit. Für Oracle Linux 7 (aarch64, x86_64) und Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für die Pakete 'spice' und 'spice-gtk' bzw. 'spice-gtk' und 'spice-server' zur Verfügung.
Version 5 (2018-10-16 12:26)
Für Debian Stretch 9.5 (stable) steht ein Sicherheitsupdate für das Paket 'spice' bereit, um die Schwachstelle zu beheben, die laut Debian eventuell auch für die Ausführung beliebigen Programmcodes ausgenutzt werden kann.

Betroffene Software

Office
Server
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann durch den Versand manipulierter Nachrichten einen Denial-of-Service (DoS)-Angriff und möglicherweise weitere nicht genauer spezifizierte Angriffe durchführen. Voraussetzung ist, dass ein Benutzer sich mit einem Client bzw. Server verbindet, welcher vom Angreifer kontrolliert wird.

Für Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS stehen Backport-Sicherheitsupdates für das Paket 'spice' zur Behebung der Schwachstelle bereit. Canonical weist darauf hin, dass nach dem Sicherheitsupdate etwaige qemu-Gastsitzungen neu gestartet werden müssen, um die Mitigation wirksam zu machen.

Schwachstellen:

CVE-2018-10873

Schwachstelle in spice-gtk ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.